Вы на самом деле делаете жизнь для себя сложнее, чем нужно здесь.
Членство в группах пользователей должно определяться в той же области безопасности, что и сам пользователь - вы не можете получить частьсубъект из одного места и его часть из другого, по крайней мере, без создания специального поставщика безопасности, насколько я знаю, и это гораздо больше усилий, чем стоит.
Если пользователи определены ввнешний сервер LDAP, здесь также необходимо настроить членство в группе.
Возможная альтернатива, в зависимости от того, что вы защищаете, - это использование конфигурации безопасности на основе ролей, но даже тогда вам все равно нужно что-тоопределить членство в роли, и это обычно должна быть группа.
Конфигурация безопасности всегда должна основываться на группах, а не на пользователях, в противном случае обслуживание станет очень болезненным.